本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立防護機制並監控預先簽章URLs
*Ryan Baker,Amazon Web Services (AWS)*
*2025 年 8 月* ([文件歷史記錄](doc-history.md))
安全性是 [AWS Well-Architected Framework ](https://docs.aws.amazon.com/wellarchitected/latest/framework/welcome.html)中所有公司和關鍵支柱的重要考量。身為安全工程師,您需要實作符合組織控制需求的管理護欄。在 AWS Well-Architected Framework 中,[護欄](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-guide/definitions.html#id-adc431e7-de7a-4b38-c6ec-4b3aee17d8c7)會定義限制活動的邊界。
本指南提供使用預先簽章 URLs 與 Amazon Simple Storage Service (Amazon S3) 物件搭配使用。預先簽章URLs 允許有權存取有效登入資料的使用者或應用程式產生預先簽署的請求,並在定義的過期時間之前接受這些請求。預先簽章 URLs 的常見使用案例是透過共用這些請求來擴展對物件或資源的存取。共用預先簽章請求是由有權執行特定請求的系統或使用者產生,然後可以傳送給其他系統或使用者,以擴展執行相同請求的能力。
在本指南中,您將學習:
+ 預先簽章 URLs的概念
+ 預先簽章 URLs的使用案例
+ 建議和選用的護欄
+ 監控選項
+ AWS 服務 如何使用預先簽章 URLs的範例
## 目標對象
本指南面向負責在 AWS 雲端中實作安全控制的架構師和安全工程師。
## 目標
身為安全工程師,您想要了解解決方案建置器如何實作安全性,以及最終使用者的存取類型。本指南涵蓋一種存取類型,預先簽章URLs,通常與 Amazon S3 搭配使用。預先簽章URLs 為建置器提供可有效橋接身分驗證機制的選項。
在 Amazon S3 中,預先簽章URLs 代表唯一的請求類別。安全工程師可以監控和管理這些請求,以確保僅在適當且必要的情況下使用它們。本指南的目標是協助安全工程師提供這種類型的高階監督。
閱讀本指南後,您應該了解什麼是預先簽章的 URL、通常使用的時間,以及使用它的動機。
## 先決條件
如果您的公司尚未定義安全政策、控制目標或標準,如在 [AWS 上實作安全控制](https://docs.aws.amazon.com/prescriptive-guidance/latest/aws-security-controls/sec-controls-gov-model.html)指南所述,建議您先完成這些控管任務,再繼續本指南。
開始之前,您也應該熟悉控制和監控的建議和選用最佳實務。如需詳細資訊,請參閱:
+ [服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (AWS Organizations 文件)
+ [資源控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) (AWS Organizations 文件)
+ [Amazon S3 的儲存貯體政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html) (Amazon S3 文件)
+ [使用伺服器存取記錄來記錄請求](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html) (Amazon S3 文件)
+ [使用 記錄 Amazon S3 API 呼叫 AWS CloudTrail](https://docs.aws.amazon.com/AmazonS3/latest/userguide/cloudtrail-logging.html) (Amazon S3 文件)